Mit loptak el a támadók?
A kibervizsgálat alapján a támadóknak sikerült letölteniük augusztus 12. és 17. között minden szöveges tartalmat a Salesforce ügyféltámogatási eseteiből. Ide tartoztak az ügyfelek által beküldött támogatási jegyek, azok tárgysorai, tartalmai – melyekben akár jelszavak, naplók vagy hozzáférési kulcsok is szerepelhettek –, illetve kapcsolattartási adatok, mint cégnév, e-mail-cím, telefonszám, domain, ország. Az ügyfélnél található összes, a Cloudflare támogatási rendszeren keresztül megosztott adat most potenciális kockázatot jelent. Az ajánlás egyértelmű: minden, itt keresztül megosztott hitelesítő adatot haladéktalanul le kell cserélni.
Nagyobb támadássorozat része
A ShinyHunters nevű zsarolócsoport idén látványos támadáshullámot indított el, céljuk a vállalati Salesforce rendszerek kompromittálása, például hangalapú adathalász (vishing) eszközökkel. Ezzel futószalagon szerezték meg az ügyféladatbázisokat, amelyeket aztán pénzért próbálnak visszazsarolni. A Salesloft ellátási láncán keresztül több száz vállalat érintett lett, a támadók pedig főként a megszerzett elérhetőségek, hozzáférési kulcsok és jelszavak későbbi célzott támadásokhoz való felhasználását tervezik.
Nagy veszteségek, fokozódó fenyegetés
A Palo Alto Networks például szintén érintett volt, bár csak a Salesforce ügyféltámogatási rendszerük sérült, nem pedig a termékeik vagy szolgáltatásaik. A támadók kifejezetten olyan kulcsszavakra kerestek, mint az AWS-hozzáférési kulcsok, VPN-, SSO-belépési adatok vagy Snowflake tokenek (Snowflake), amelyekkel további szolgáltatásokat törhetnek fel. Idén egyébként drámaian nőtt a feltört jelszavak aránya is: 46% körülire, ami közel duplája a tavalyi 25%-nak.
